电动汽车电池管理系统的功能安全研究
本文通过将 ISO 26262:2018 的开发流程和规范应用于电池管理系统的功能开发中,完成了电池管理系统的软、硬件开发及系统集成,主要完成了以下内容:
( 1) 完成了系统功能安全概念和系统设计。从项目定义出发,对由于 BMS 功能失效而导致的典型危险事件进行 HARA 分析,基于 HARA 分析得到的功能安全目标及 ASIL 等级,完成功能安全需求的制定和分配。然后基于 ASIL 分解原理,将 BMS 主控制器( ASIL D)分解为“ 主控芯片( ASIL C)+监控芯片( ASIL A)” 的硬件结构,并在此基础上完成了 技术安全需求的制定和分配。最后参考 E-Gas 软件架构完成了包含功能层在内 的三层监控软件架构设计。
( 2) 完成了 BMS 硬件系统设计, 并基于 FMEDA 分析方法对硬件系统进行了安全分析。由系统技术安全需求获得硬件安全需求,并在此基础上完成了硬件系统主要元器件的选型和基本电路的设计。基于 FMEDA 分析方法对硬件系统进行安全分析,将计算得到的硬件架构度量指标与目 标值进行对比,确认了所设计的硬件系统达到 ASIL D 的功能安全要求。
( 3) 完成了 BMS 软件设计和测试验证。由系统技术安全需求完成了软件安全需求的制定,并在此基础上完成了软件架构,以及软件架构中的功能层和功能监控层软件设计。在完成电池模型和模型调度系统搭建后,基于建立的模型可视化闭环仿真平台,完成了软件集成测试和验证,确认了所设计的软件在功能实现上的正确性和可靠性。
( 4) 通过搭建 BMS 控制器测试平台,完成了 BMS 系统的基本功能测试和功能安全测试。基本功能测试包括电压和温度采集信号精度测试,CAN 通讯数据传输准确性和稳定性测试。功能安全测试通过采用故障注入的方法,对 BMS 系统的过放电、过充电、过温和高压电等故障进行了测试,确认了所开发的 BMS 系统具有较强的故障容忍能力,能有效保证系统的功能完整性和可靠性。由于汽车电子电气系统所处环境的复杂性,同时作者本人工程开发经验有限,在参考功能安全标准对 BMS 进行开发过程中,所做的设计难免有不足之处。
基于本文现有的研究,还有一些需要进一步完善的地方:
( 1) 测试不够全面和彻底。由于时间和实验条件限制,本文所做的控制器测试较为简单和偏向于静态,暂无法说明所开发的 BMS 系统具有全面和完整的故障监控功能,因此在后续工作中还需对控制器进行更加复杂的工况测试,以进一步确定所开发控制器功能实现的完整性和可靠性。
( 2) 在对硬件进行安全分析时,有些电子元器件的失效率在相关标准中没有提供直接的数据参考,最后通过失效率计算公式得到,然而失效率计算公式中涉及较多参数的确定, 这些参数具有不确定性,会影响到最终计算结果的准确性。同时标准中对某一类安全机制提供了一个所能达到的诊断覆盖率作为参考,但是对于使用此安全机制的设计来说,实现的效果和程度是参差不齐,无法定量评估,因此在参考标准确定安全机制所达到的诊断覆盖率可能会存在偏高或偏低的问题。在后续工作中还需对电子元器件失效率和诊断覆盖率进行数据收集和深入分析,使整个硬件系统安全评估结果更严谨和准确。
( 3) 在软件设计开发过程中,主要偏向于应用层软件功能的实现,对控制器硬件( 内 存)资源优化和代码执行效率等问题没做太多考虑,后续还需对软件代码架构和质量进行优化,在提高整个系统软件执行效率的同时,减少不必要的资源消耗。
- 用户评论
